Каждый ПК можно разыскать в любой точке интернета
Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности. Докторант Тадаёси Коно пишет в своей работе: «Сегодня существует ряд мощных технологий дистанционного снятия „отпечатков пальцев” системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры… без участия самого исследуемого устройства».
Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить «физическое устройство, когда оно подключается к интернету через другой узел доступа; подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы; дистанционно проверить блок адресов на соответствие виртуальным хостам».
Трансляция сетевых адресов (NAT) — это протокол, который широко применяется с целью создания впечатления, что у всех машин, расположенных за брандмауэром, один и тот же IP-адрес в интернете.
Carnivore-подобный проект?
Понимая, какой интерес представляет его исследование для организаций, занимающихся наблюдением, Коно пишет: «Наши методы можно применять и для отслеживания лаптопов при их перемещении, возможно, в рамках проекта, подобного проекту Carnivore». Carnivore — это ПО наблюдения за интернетом, разработанное ФБР. В начале своей работы Коно упоминает о возможности применения данного метода в криминалистике, утверждая, что с его помощью следователи могут «доказать, был ли данный лаптоп подключен к интернету через данную точку доступа».
Другой областью применения метода Коно может стать «получение информации о том, являются ли устройства, подключавшиеся к интернету в разное время или с разными IP-адресами, на самом деле одним и тем же физическим устройством».
Метод состоит в «выявлении мелких, микроскопических изменений в аппаратуре устройства: расфазировок синхронизирующих импульсов». По сути, технология Коно «использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323, так что в целях повышения производительности каждый участник потока TCP в каждом исходящем пакете передает информацию о своем восприятии времени. Эту информацию, содержащуюся в заголовках TCP, можно использовать для оценки расфазировок синхроимпульсов и таким образом снять отпечатки пальцев физического устройства».
Коно продолжает: «Наши методы дают устойчивые результаты при измерении за тысячи миль, множество сетевых сегментов и десятки миллисекунд от анализируемого устройства, а также когда устройство подключается к интернету в другом месте и по другой технологии доступа. Более того, наши пассивные и полупассивные методы можно применять, когда устройство находится за транслятором сетевых адресов или брандмауэром».
В работе подчеркивается, что «для снятия отпечатков пальцев не требуется никаких изменений в исследуемом устройстве и никакого участия с его стороны». Коно и его группа испытали свой метод на многих операционных системах, включая Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows for Pocket PCs 2002.
«Во всех случаях мы обнаружили, что для оценки расфазировок синхроимпульсов в машине можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы», — пишет Коно.
Расширенное тестирование методики тоже оказалось плодотворным для исследователей. «Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра».
«Главное преимущество нашей методики… заключается в том, что она позволяет наблюдать за противниками, удаленными на тысячи миль и множество сетевых сегментов».
Информацию о методе Коно предала гласности Kимберли C. Клаффи, главный исследователь Объединенной ассоциации по анализу интернет-данных (CAIDA), опубликовав ее в списке почтовой рассылки «в интересах полного и раннего раскрытия». Однако в своем письме Клаффи просит: «Пожалуйста, не пересылайте это плохим парням». Коно тоже является членом CAIDA.
Ожидается, что исследование Коно будет представлено на симпозиуме по безопасности и защите неприкосновенности частной жизни Института инженеров по электротехнике и электронике, который состоится в мае в Калифорнии.
Исследование Коно, скорее всего, — не последнее слово в области сетевой анонимности, а лишь последний виток в гонке вооружений между разработчиками средств, обеспечивающих анонимность, и создателями программ, ее снимающих. Возможными контрмерами могут служить, например, методы маскирующего перекоса временной диаграммы с улучшенной генерацией случайных чисел.
Ренай Лемэй (Renai LeMay), специально для CNET News.com
5 марта, 2005, 13:20
*